Snort规则库的研究与改进

1、技 术 创 新 微计算机信息 2011年第 27卷第 2期120元 /年 邮局订阅号 :82-946现场总线技术应用 200例 信 息 安 全Snort 规则库的研究与改进Research and Improvement on Rule Base of Snort(天津城市建设管理职业技术学院 王 喆WANG Zhe摘要 :通 过 对 Snort 入 侵 检 测 系 统 的 测 试 , 发 现 该 系 统 针 对 135、 1434端 口 和 IIS_Translate_F漏 洞 攻 击 未 能 进 行 报 警 。 根 据 入侵 检 测 规 则 文 件 的 语 法 规 则 , 编 写 出 针

2、对 漏 报 情 况 的 新 的 入 侵 检 测 规 则 文 件 , 从 而 使 得 入 侵 检 测 系 统 的 检 测 成 功 率 明 显 提 高 , 有 效 的 降 低 了 漏 报 率 。关键词 :Snort; 入侵检测系统 ; 规则 ; 漏报率 中图分类号 :TP39文献标识码 :AAbstracts:Through the testing of Snort -Based intrusion detection system, we find that the system can not warn based on the port 135, 1434and the omission I

3、IS_Translate_Fstriking. According to intrusion detective grammatical rules, write the new intrusion de -tective rules, thereby to increase efficiency of the intrusion detective system apparently and reduce the underreport rates. Key words:Snort; Intrusion detection system; Rules; Underreported rate文

4、章编号 :1008-0570(201102-0156-02引言基于 Snort 入侵检测系统主要是通过误用检测规则来检测 攻击 , 该种检测方式的核心是已知攻击方式的知识库 , 通过判断 知识库中的入侵模式是否出现来实施检测 。 对于该系统来说 , 如 果只有 Snort 的可执行程序 , 而没有规则文件 , 那么 Snort 就不能 真正实现入侵检测功能 , 不能识别任何攻击 。 同时如果是知识库 未知攻击类型和未知系统安全漏洞 , 该系统也不能够检测 。 Snort 规则文件就是该系统的核心 , 是 Snort 检测攻击的知识库 。通过对我院建立的基于 Snort 入侵检测系统运行过程中的

5、 测试 , 对实际的漏报情况进行分析 , 入侵检测系统中不具有漏报 的那些攻击或者漏洞的知识库 , 即没有能够检测这些攻击和漏 洞的入侵检测规则文件 。 因此 , 必须根据 Snort 规则文件的语法 要求 , 编写针对这些攻击和漏洞的入侵检测文件 。1入侵检测规则文件的语法规则Snort 的每条规则都可以分成逻辑上的两个部分 :规则头 (ruleHeader 和规则选项 (ruleOption 。 规则头包括 :规则行为(rule s action 、协议 (protocol、 源 /目的 IP 地址 、 子网掩码以及源 /目的端口 。 规则选项则包含了所要显示给用户查看的警告信息 以及用来

6、判定此数据包的其他信息 (如 :tcp的 flags 字段 , 数据字 段的内容等 。 在 Snort 规则文件中规则头部分包含关键字有 :(1规则行为 。 规则行为告诉 Snort 当发现匹配的数据包时 , 应该如何处理 。 Snort 中包括 alert 、 log 、 pass 、 activate 和 dynamic 等 5种处理方式 。 其中 alert 处理方式经常使用 , 它根据选定的 报警方法产生报警信息 , 并且记录数据包 ;(2协议 :包括 TCP 、 UDP 和 ICMP; (3IP地址 ; (4端口号 ;(5方向操作符 ; 方向操作符包括单向“ ->” 和双向 “

7、 <>” 两种 。 Snort 规则文件中的规则选项部分包含关键字有 23个 。 其 中 content 是 Snort 一个非常重要的规则选项 , 它是需要检测的 数据包的特征 ,Snort 根据规则中 content 指定的内容进行数据 包的搜索 , 并且触发对于这些数据的反应 。 Snort 检测引擎最后 测试的总是 content 规则选项 , 每当对一个 content 规则选项进 行模式匹配时 ,Snort 都会调用 Boyer-Moore 模式匹配函数 , 测试数据包的内容 。无论在数据包的那个位置发现要搜索的数据 , 就 算测试成功 。2入侵检测规则文件的编写通过对

8、 Snort 规则文件的语法规则分析 , 针对入侵检测系统 漏报情况 , 在入侵检测系统中增加几种入侵检测的规则文件 。2.1135端口入侵检测规则文件135端口主要用于使用 RPC(RemoteProcedure Call, 远程过 程调用 协议并提供 DCOM(分布式组件对象模型 服务 , 通过 RPC 可以保证在一台计算机上运行的程序可以顺利地执行远 程计算机上的代码 ; 使用 DCOM 可以通过网络直接进行通信 , 能 够跨包括 HTTP 协议在内的多种网络传输 。 RPC 本身在处理通 过 TCP/IP的消息交换部分有一个漏洞 , 该漏洞是由于处理了格 式不正确的消息造成的 。 由于

9、该漏洞会影响到 RPC 与 DCOM 之间的一个接口 , 该接口侦听的端口就是 135。 “ 冲击波 ” 病毒就 是利用 RPC 漏洞来攻击计算机的 。因此在 Snort 系统中增加 135端口的入侵检测规则文件 epmap-port.rules, 该文件中入侵检测语句是 :alerttcp $EXTER-NAL_NETany ->$HOME_NET135(msg:"epmap_port"sid:10001; rev:5; 。2.21434端口入侵检测规则文件1434端口属于 UDP 协议的端口号 , SQL Server 在该端口 上建立一个监听服务 , 让客户端可

10、以从服务器上查询到命名实 例及其网络配置信息的列表 。 该监听服务始终运行在 UDP 1434端口上 , 并且用户无法更改该运行端口 。王 喆 :硕士 讲师156-邮局订阅号 :82-946120元 /年 技 术 创 新 信 息 安 全PLC 技术应用 200例 由于该端口的开放 , 就会使得远程主机的 MS SQL Server 存在缓冲区溢出漏洞 , 该漏洞可能会导致远程攻击者以 SYS -TEM 权限在系统中执行任意代码 , 从而可能引发 sapphire 蠕虫 病毒的攻击 。 sapphire 蠕虫病毒利用该漏洞向开放该端口的主 机发出大量的 UDP 数据包 , 形成网络的 Dos 攻

11、击 。因此在 Snort 系统中增加 1434端口的入侵检测规则文件 ms-sql-m.rules, 该文件中入侵检测语句是 :alertudp $EXTER-NAL_NETany ->$HOME_NET1434(msg:"ms -sql -m" sid:10002; rev:5; 。2.3IIS 的 IIS_Translate_F漏洞入侵检测文件IIS 的 IIS_Translate_F漏洞存在 , 攻击者在 HTTP 的“ get ” 请 求语句的头文件中加入 “ Translate:f” 语句 , 使服务器把所请求的 文件的源代码发送给客户端 , 这样可能造成网

12、站重要信息 (如密 码等 的泄密 , 或者攻击者利用这些源代码为自己服务 。对 IIS_Translate_F漏洞的 Snort 规则在编写时 , 必须要有该 漏洞信息的特征码 , 也就是 Snort 规则文件规则选项部分 con -tent 的内容 。 为了获得 IIS_Translate_F漏洞的特征码 , 利用 X-Scan v3.2GUI 扫描软件只针对 IIS 漏洞进行扫描 , 同时利用 sniffer 进行攻击数据包的截取 , 截获的数据包如图 1所示 。 从截 获的数据包中 , 查找出 IIS_Translate_F漏洞的特征码是 :“ 5472616E 736C 6174653

13、A 2066”。 图 1sniffer 截获的数据包此时根据 Snort 系统入侵检测规则文件的语法 , 编写针对 IIS_Translate_F漏洞的规则文件 IIS-Translate-F.rules, 该文件中 入 侵 检 测 语 句 是 :alerttcp $EXTERNAL_NETany ->$HTTP_SERVERS$HTTP_PORTS(msg:"IIS-Translate -F"con -tent:"|5472616E 736C 6174653A 2066|"。3改进后的入侵检测系统测试在入侵检测系统中增加了这几种规则文件后 , 重

14、新利用 X-Scan v3.2GUI 扫描软件对目标主机进行端口和漏洞扫描 , 发现 入侵检测控制台中针对 135端口 、 1434端口和 IIS_Translate_F漏洞的扫描已经可以进行检测 。 表 1为改进前与改进后的入侵 检测结果对比表 , 图 2改进前 、 后的入侵检测成功率的对比图 。表 1改进前 、 后入侵检测结果对比表图 2入侵检测成功率对比图由表 1和图 2显示的结果可以发现改进后的入侵检测系 统的检测成功率比改进前明显提高 。 同时通过对表 1和图 2显 示结果的分析 , 发现只有在入侵检测系统的运行过程中 , 根据实 际情况扩充入侵检测规则文件 , 才能逐步完善入侵检测

15、系统的 检测能力 , 提高入侵检测系统的检测成功率 。4总结利用 Snort 具有的可扩展性 , 充分分析入侵检测系统运行中 的漏报情况 , 开发出针对漏报内容的入侵检测规则文件 , 有效降 低漏报率 , 提高了网络的安全性 。本文创新点 :针对学院基于 snort 开发的入侵检测系统出现 的漏报情况 , 根据入侵检测系统规则文件的语法规则 , 编写出针 对漏报情况的新的入侵检测规则文件 , 从而提高了入侵检测系 统的检测成功率 。作者对本文版权全权负责 , 无抄袭 。参考文献1戴英侠 , 连一峰 , 王航 , 系统安全与入侵检测 M,清华大学出版 社 M,2002,332方贤进 , 校园网环

16、境下入侵检测系统的研究与实现 :硕士学位 论文 ,安徽 :安徽大学 ,20053韩东海 , 王超 , 李群 , 入侵检测系统实例剖析 M,清华大学出版 社 M,20034张雷 , 刘慧巍 , 刘中杰 ,Linux 下入侵安全检测系统的分析 J,长 春师范学院学报 (自然科学版 ,2005,(45张俊 , 江汉红 , 陈少昌等 .Internet 网络攻击与抵御的层次化分 析 J.微计算机信息 .2005,1-0作者简介 :王喆 (1978-,男 (汉 , 天津市人 , 硕士 , 讲师 , 研究方向 :计 算机网络 。Biography:WANG Zhe (1978-,male (Han,Tia

17、nJin, lecturer, master, Research area:computer network.300134天津 天津城市建设管理职业技术学院 王 喆(TianjinUrban Construction Management &Vocation Tech -nology College, Tianjin 300134, China WANG Zhe通 讯 地 址 :(300134天 津 市 天 津 城 市 建 设 管 理 职 业 技 术 学 院 王 喆(上接第 248页 3郭伟斌 , 冯 钿 , 罗文村 . 软件注册机制模块的研究 . 微计算机信 息 ,2006年第 22卷第 5-3期 .4冯振国 , 何瑞春 . 随机多重加密方法在小型软件注册中的应用 . 计算机工程与科学 .2009年第 31卷第 4期 .5张宝生 . 一种基于网络的实用软件注册方法 . 北京石油化工学 院学报 .2001年 6月第 9卷第 1期 .6韦 伟 .Delphi 中利用 Windows 注册表实现软件的审核注册过 程 . 黄冈职业技术学院学报 .2009年 3月第 11卷第 l 期7陈奇峰 . 基于椭圆曲线数字签名算法的软件注册码方案 . 科学 技术与工程 .2009年 3月第 9卷第 6期作者简介 :何定华